Die Kontrolle 6.6 in ISO 27002:2022 deckt die Notwendigkeit ab, dass Organisationen den Verlust vertraulicher Informationen verhindern müssen, indem sie Vertraulichkeitsvereinbarungen mit interessierten Parteien und Mitarbeitern abschließen.
Organisationen sollten die Bedingungen ihrer Vereinbarungen mit anderen Parteien auf der Grundlage dieser festlegen Informationssicherheitsanforderungen der Organisationunter Berücksichtigung der Art der zu verarbeitenden Informationen, ihrer Geheimhaltungsstufe, ihres Verwendungszwecks und des zulässigen Zugriffs durch die andere Partei.
Eine Vertraulichkeits- oder Geheimhaltungsvereinbarung (NDA) ist ein rechtliches Dokument, das die Offenlegung von Geschäftsgeheimnissen und anderen vertraulichen Informationen verhindert.
Vertraulich Zu den Informationen kann der Geschäftsplan des Unternehmens gehören, Finanzdaten, Kundenlisten und andere geschützte Informationen. Diese Vereinbarungen können in einer Vielzahl von Situationen verwendet werden, darunter:
Partnerschaften enthalten häufig Vertraulichkeitsklauseln als Teil ihrer Partnerschaftsvereinbarung, sodass sich jeder Partner verpflichtet, keine vertraulichen Informationen preiszugeben, die er während seiner Partnerschaft erhalten hat.
Vertraulichkeitsvereinbarungen werden sowohl von Privatpersonen als auch von Unternehmen geschlossen. Sie haben viele Zwecke, wie zum Beispiel:
Steuerelemente werden anhand von Attributen klassifiziert. Mithilfe dieser können Sie Ihre Steuerungsauswahl schnell mit häufig verwendeten Branchenbegriffen und -spezifikationen abgleichen.
Attribute für Control 6.5 sind:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Vermögensverwaltung #Informationsschutz #Physische Sicherheit #System- und Netzwerksicherheit | #Schutz |
Kontrolle 6.6 sollte implementiert werden, um die Informationssicherheit zu gewährleisten, wenn Mitarbeiter, Partner und Lieferanten mit einer Organisation zusammenarbeiten.
Diese Kontrolle soll die Sicherheit gewährleisten Informationen der Organisation zu veröffentlichen und die Unterzeichner über ihre Verantwortung zu informieren verantwortungsvoll und autorisiert mit Informationen umzugehen und diese zu schützen. Es wird auch als Instrument zum Schutz geistiger Eigentumsrechte wie Patente, Marken, Geschäftsgeheimnisse und Urheberrechte eingesetzt.
Für Arbeitgeber ist es wichtig, eine Geheimhaltungsvereinbarung abzuschließen, bevor sie vertrauliche Informationen an einen Mitarbeiter oder Auftragnehmer weitergeben. In der Vereinbarung wird festgelegt, wie streng die Person die Informationen, denen sie ausgesetzt ist, schützen soll und wie lange die Vertraulichkeitsfrist nach Beendigung des Arbeitsverhältnisses gilt.
Control 6.6 zielt darauf ab, das geistige Eigentum und die Geschäftsinteressen Ihrer Organisation zu schützen, indem die Offenlegung sensibler Informationen an Dritte verhindert wird. Es bezieht sich auf einen rechtsgültigen Vertrag oder eine Vereinbarung zwischen Ihrer Organisation und ihren Mitarbeitern, Partnern, Auftragnehmern, Lieferanten und anderen Dritten das die Verwendung vertraulicher Informationen regelt.
Als vertrauliche Informationen gelten alle Informationen, die nicht der Öffentlichkeit oder anderen Unternehmen einer ähnlichen Branche zugänglich gemacht wurden. Beispiele hierfür sind Geschäftsgeheimnisse, Kundenlisten, Formeln und Geschäftspläne.
Die Kontrolle sollte bei der Beurteilung durchgeführt werden, ob a Dritte erhalten Zugriff auf sensible personenbezogene Datenund ob Maßnahmen ergriffen werden müssen, um sicherzustellen, dass sie die sensiblen personenbezogenen Daten der Organisation nach ihrem Ausscheiden nicht behalten und weiterhin darauf zugreifen.
Wenn eine Organisation feststellt, dass ein Dritter die Geschäftsbeziehung verlässt, und das Risiko besteht, dass dadurch sensible Organisations- oder Unternehmensdaten offengelegt werden, muss die Organisation angemessene Maßnahmen ergreifen, bevor dieser Dritte die Geschäftsbeziehung verlässt oder so schnell wie möglich nach ihrem Weggang, um eine solche Offenlegung zu verhindern.
Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.
Kontrolle 6.6 bedeutet, dass die Vertragsparteien keine vertraulichen Informationen offenlegen, die unter die Vereinbarung fallen. Die Informationen dürfen nur mit schriftlicher Zustimmung der Organisation oder gemäß einer gerichtlichen Anordnung weitergegeben werden. Dies ist wichtig, um sensible Informationen über Geschäftspraktiken, geistiges Eigentum sowie Forschung und Entwicklung zu schützen.
Um die Anforderungen der Kontrolle 6.6 zu erfüllen, muss eine Vereinbarung/ein Vertrag zur „Vertraulichkeit“ und „Geheimhaltung“ sorgfältig ausgearbeitet werden, damit sie alle Geschäftsgeheimnisse und sensiblen Daten-/Informationsaspekte der Geschäfte und Transaktionen der Organisation abdeckt. Es ist wichtig, dass beide Parteien ihre Pflichten aus dem Vertrag und ihre Pflichten während und nach Beendigung der Geschäftsbeziehung verstehen.
Eine Vertraulichkeitsklausel kann auch in andere Verträge aufgenommen werden, die über das Ende des Arbeitsverhältnisses des Arbeitnehmers oder der Beauftragung Dritter hinausgehen.
Es ist zwingend erforderlich, dass die Sicherheitsverantwortung und -pflichten der Person, die eine Geschäftsbeziehung verlässt oder den Arbeitsplatz wechselt, auf eine neue Person übertragen, alle Zugangsdaten gelöscht und eine neue erstellt werden.
Die folgenden Elemente sollten bei der Identifizierung von Vertraulichkeits- und Geheimhaltungsvereinbarungen berücksichtigt werden:
Die Organisation sollte sicherstellen, dass Vertraulichkeits- und Geheimhaltungsvereinbarungen im Einklang mit den Gesetzen der Gerichtsbarkeit stehen, in der sie gelten.
Eine Überprüfung der Vertraulichkeits- und Geheimhaltungsvereinbarungen sollte regelmäßig und immer dann erfolgen, wenn sich Änderungen auf ihre Anforderungen auswirken.
Weitere Informationen zur Funktionsweise finden Sie im Standarddokument ISO 27002:2022.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Control 6.6 in der neuen ISO 27002:2022 ist keine neue Kontrolle, sondern eine modifizierte Version der Kontrolle 13.2.4 in ISO 27002:2013.
Obwohl diese beiden Steuerelemente ähnliche Funktionen enthalten, unterscheiden sie sich geringfügig. Beispielsweise sind die Implementierungsleitfäden in beiden Versionen zwar ähnlich, aber nicht identisch.
Der Erste Teil der Umsetzungsanleitung In Kontrolle 13.2.4 in ISO 27002:2013 heißt es:
„Vertraulichkeits- oder Geheimhaltungsvereinbarungen sollten die Anforderung zum Schutz vertraulicher Informationen durch rechtlich durchsetzbare Bedingungen berücksichtigen. Vertraulichkeits- oder Geheimhaltungsvereinbarungen gelten für externe Parteien oder Mitarbeiter der Organisation. Elemente sollten unter Berücksichtigung der Art der anderen Partei und ihres zulässigen Zugriffs oder Umgangs mit vertraulichen Informationen ausgewählt oder hinzugefügt werden.“
Im gleichen Abschnitt in Kontrolle 6.6 von ISO 27002:2022 heißt es:
„Vertraulichkeits- oder Geheimhaltungsvereinbarungen sollten die Anforderung zum Schutz vertraulicher Informationen durch rechtlich durchsetzbare Bedingungen berücksichtigen. Vertraulichkeits- oder Geheimhaltungsvereinbarungen gelten für interessierte Parteien und Mitarbeiter der Organisation.
Basierend auf den Informationssicherheitsanforderungen einer Organisation sollten die Bedingungen in den Vereinbarungen unter Berücksichtigung der Art der zu verarbeitenden Informationen, ihres Klassifizierungsgrads, ihrer Verwendung und des zulässigen Zugriffs durch die andere Partei festgelegt werden.“
Obwohl sich beide Steuerelemente in ihrer semantischen Bedeutung unterscheiden, haben sie in ihren jeweiligen Kontexten eine ähnliche Struktur und Funktion. Control 6.6 verwendet jedoch eine einfachere und benutzerfreundlichere Sprache, sodass Inhalt und Kontext leichter verständlich sind. Dies bedeutet, dass diejenigen, die den Standard verwenden werden, sich leichter mit dem Inhalt identifizieren können.
Darüber hinaus enthält die Version 2022 von ISO 27002 Zweckerklärungen und Attributtabellen für jede Kontrolle, die Benutzern helfen, die Kontrollen besser zu verstehen und umzusetzen. Diese beiden Abschnitte sind in der Ausgabe 2013 nicht verfügbar.
Gemäß Steuerung 6.6 der Norm ISO 27002 ist in den meisten Organisationen die Personalabteilung in der Regel für die Ausarbeitung und Umsetzung der Vertraulichkeits- oder Geheimhaltungsvereinbarung verantwortlich, was die Zusammenarbeit mit dem Vorgesetzten oder der Abteilung des betreffenden Dritten beinhaltet.
Der leitende Manager könnte der Informationssicherheitsbeauftragte, der Vertriebs- oder Produktionsleiter sein.
Diese Abteilungen und Leiter sind auch dafür verantwortlich, sicherzustellen, dass alle von der Organisation eingesetzten Drittanbieter über angemessene Sicherheitsmaßnahmen verfügen, um vertrauliche Informationen vor unbefugter Offenlegung oder Nutzung zu schützen.
Sie sollten sicherstellen, dass alle Mitarbeiter eine Vertraulichkeitsvereinbarung unterzeichnen, wenn sie ihre Tätigkeit im Unternehmen aufnehmen.
In den meisten Fällen (abhängig von der Größe der Organisation) werden Vertraulichkeits- oder Geheimhaltungsvereinbarungen von allen Mitarbeitern unterzeichnet, die Zugang zu vertraulichen Informationen haben.
Dazu gehören in der Regel alle Mitarbeiter, die in den Bereichen Vertrieb, Marketing, Kundenservice oder anderen Abteilungen tätig sind und in denen sie möglicherweise mit vertraulichen Informationen über Klienten, Kunden oder Lieferanten in Kontakt kommen.
In manchen Fällen sollten Organisationen, selbst wenn es keine tatsächliche schriftliche Vereinbarung zwischen zwei Parteien gibt, über Richtlinien verfügen, die ihre Mitarbeiter dazu verpflichten, eine Vertraulichkeitsvereinbarung zu unterzeichnen, bevor ihnen Zugang zu sensiblen Informationen über Kunden oder Lieferanten gewährt wird.
Zu den Risiken, die mit dem Fehlen einer angemessenen Vertraulichkeitsvereinbarung verbunden sind, gehören:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Die Norm ISO 27002:2013 wurde nicht wesentlich geändert. Der Standard wurde lediglich aktualisiert, um die Benutzerfreundlichkeit zu erleichtern. Organisationen, die derzeit ISO 27002:2013 einhalten, müssen keine zusätzlichen Schritte unternehmen Einhaltung aufrechtzuerhalten mit dem Standard.
Um die Änderungen in ISO 27002:2022 einzuhalten, kann es für die Organisation erforderlich sein, einige geringfügige Änderungen an ihren bestehenden Prozessen und Verfahren vorzunehmen, insbesondere wenn eine erneute Zertifizierung erforderlich ist.
Um mehr darüber zu erfahren, wie sich diese Änderungen an Control 6.6 auf Ihr Unternehmen auswirken werden, lesen Sie bitte unseren Leitfaden zu ISO 27002:2022.
ISO 27002 ist ein weithin anerkannter Informationssicherheitsstandard Dies stellt eine Reihe von Anforderungen an eine Organisation dar, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen zu schützen. Der Standard wurde von der International Organization for Standardization (ISO) entwickelt, einer Nichtregierungsorganisation, die internationale Standards festlegt, überprüft und veröffentlicht.
ISMS.Online hilft Organisationen und Unternehmen dabei, die Anforderungen von ISO 27002 zu erfüllen, indem es ihnen eine Plattform zur Verfügung stellt, die es einfach macht, ihre Vertraulichkeits- oder Geheimhaltungsrichtlinien und -verfahren zu verwalten, sie bei Bedarf zu aktualisieren, sie zu testen und ihre Wirksamkeit zu überwachen.
Wir bieten eine cloudbasierte Plattform dafür Verwaltung von Vertraulichkeits- und Informationssicherheits-Managementsystemen, einschließlich Geheimhaltungsklauseln, Risikomanagement, Richtlinien, Pläne und Verfahren, an einem zentralen Ort. Die Plattform ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen der Bedienung erleichtert.
ISMS.Online ermöglicht Ihnen:
ISMS.Online bietet a volle Palette von Funktionen um Organisationen und Unternehmen dabei zu helfen, die Einhaltung des Industriestandards ISO 27001 und/oder ISO 27002 ISMS zu erreichen.
Bitte kontaktieren Sie uns noch heute planen eine Demo.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Seit der Migration konnten wir den Verwaltungsaufwand reduzieren.
